http://www.yomiuri.co.jp/national/20160115-OYT1T50013.html
2016年01月15日 03時00分
マートフォンの基本ソフト(OS)「アンドロイド」端末向けに国内で提供されているアプリに、本来存在しないはずの「バックドア」(裏口)があると指摘されていたことが分かった。
情報セキュリティー会社はスマホを乗っ取られる可能性も指摘しており、アプリ提供会社が利用者に対し、今月中のアプリ削除などを呼び掛ける事態になっている。
このアプリは、中国検索大手の百度が提供するアンドロイド用アプリ「Simejiプライバシーロック」(SPL)。他人に見られたくないスマホの写真やアプリなどに個別に鍵をかけ、非表示にする機能を持つ。国内で約4500人がダウンロードしたとされる。
情報セキュリティー会社トレンドマイクロ(東京)が昨年秋、百度の提供するアプリ開発キットに、外部からの侵入を許すバックドアを確認した。このキットで作られたアプリにはバックドアが仕込まれる。
SPLの中にはキットと同じ文字列があったほか、スマホのOSバージョンや画面サイズ、端末に割り振られる固有番号などの情報を勝手に送信する機能があった。
昨年秋に外部から「バックドアがある」との指摘を受けたという百度は「情報を抜き取られる可能性は、指摘されるまで気付かなかった。過失であって、意図的に作った『バックドア』ではない。日本のアプリでこのキットは使われておらず、文字列が残っていただけだ」と主張している。
ただ、百度は「チェックが不十分だった」として、今月31日にSPLの更新版の配信を停止する。既に利用している人に対しては、非表示にした写真やアプリなどが失われないよう、解錠してからSPLをスマホから削除するよう求めている。
トレンドマイクロによると、このキットで作られ、バックドアが残ったままのアプリがスマホに入っていると、外部のパソコンからスマホ内に保存してある写真や文書などのデータを抜き取ったり、連絡先を追加したりできた。特定のサイトに接続し、スマホに他のアプリを入れることや、別のバックドアを仕込むことも可能だった。
こうしたスマホはネットでも検索でき、同社は「情報の抜き取りだけでなく、様々な機能が外部から乗っ取られ、さらなる被害に遭う恐れもある」と指摘している。
スマートフォンの基本ソフト(OS)「アンドロイド」端末向けに国内で提供されているアプリに、本来存在しない筈の「バックドア」(裏口)があると指摘されていたことが分かった。
このアプリは、中国検索大手の百度が提供するアンドロイド用アプリ「Simejiプライバシーロック」(SPL))。
シメジは、百度に買われて危険になりました。
レノボと言い、中国製は危険です。
百度は、読売新聞の記事に「誤報道」と指摘しているようです。
百度、読売新聞の記事に「誤報道」と指摘……「Simejiプライバシーロック」問題報道の経緯
http://www.rbbtoday.com/article/2016/01/15/138738.html
2016年1月15日(金) 13時39分
バイドゥ(百度)は15日、同日付の読売新聞社会面の記事「アプリ 無断で情報送信」に対して、「誤報道」であるとして、厳重な抗議を行ったことを明らかにした。記事には、事実と異なる内容、読者の誤解を招く内容が記載されているという。
この記事では、“バイドゥのアプリ「Simejiプライバシーロック」にバックドアがあるため、スマホを乗っ取られ、情報を勝手に送信される可能性がある”“アプリ提供会社(バイドゥ)は利用者に対し、アプリ削除などを呼び掛けている”と解説している。読売新聞社会部は、11月末よりバイドゥに対し取材を行っていた。
これに対しバイドゥは、まず「スマホ乗っ取られる恐れ」という記載に対して、そのような可能性はまったくないと指摘。また「バックドアがある」「情報を勝手に送信する」という記載についても、事実無根であるとしている。
一方、プッシュ通知を行う機能を実装する同社の「Push SDK」には脆弱性が、北京の百度本社が配布する「Moplus SDK」には脆弱性とバックドア機能があることが、過去に指摘されている。しかし「Push SDK」の脆弱性については、昨年11月14日時点ですでに修正されているとのこと。また「Simejiプライバシーロック」には「Moplus SDK」は使用されていないため、無関係であるとしている。「Moplus SDK」の脆弱性についても、トレンドマイクロ社から指摘される前に修正が完了していたため、「情報を抜き取られる可能性は、指摘されるまで気づかなかった」という説明は、事実と異なるという。
さらに同社では、「Simejiプライバシーロック」の削除を呼びかけていない。同社では、昨年11月13日に同アプリの問題を発見し、修正版を翌14日4時に公開したが、公開までの間、一時的に「脆弱性のあるバージョンのアンインストール」を呼びかけたことがあるのみだとしている。
なお、同社では、社内のチェック体制の見直しに伴い「Simejiプライバシーロック」のGoogle Play上での配信を本年1月31日で停止する予定。これについても「スマホが乗っ取られる可能性」が存在するためではないと強調している。
《冨岡晶》
ラベル:セキュリティ対策
【関連する記事】
- [WBC2023] 3月16日、ツイートまとめ
- [WBC2023] 3月12日、ツイートまとめ
- [WBC2023] 3月11日、ツイートまとめ
- [WBC2023] 3月9日及び3月10日、ツイートまとめ
- [Twitter] 「医者にかかるのを減らすか、できたらやめようかと思ってる」「..
- [昆虫食] 2022年1月2日、昆虫食及びコオロギコーヒーに関するツイート
- 敷島製パン、コオロギ商品めぐり対応苦慮 デマや陰謀論も拡散...提携企業は法的措..
- [Twitter] テクノロジー犯罪云々というアカウントに注意!
- [昆虫食] 無印良品のコオロギせんべいを食べたお子様が全身の痒みと腫れと下痢の症..
- 種子法廃止法案、種子法廃止法、水道民営化、水道法改正案、水道法、PFI法改正案、..
- [安倍信者] 「個人的に麻生さんには全幅の信頼を寄せています」「この件(水道民営..
- 9月24日〜9月25日 hazukinotaboo ツイートまとめ 紀平梨花..
- 昨夜、カルト規制法と公明党の関係を記事にした後、スマホもパソコンもネットに繋がら..
- 「葉月のタブー 日々の備忘録 別館」でブログを更新します。現在のディスク使用..
- 2月1日〜2月2日、hazukinotabooツイートまとめ 枯れ葉剤 食品..
- [東京五輪] 8月4日、hazukinotaboo ツイートまとめ
- [東京五輪] 8月2〜3日、hazukinotaboo ツイートまとめ
- [東京五輪] 7月29〜30日、hazukinotaboo ツイートまとめ
- VISAカードを第三者に使われる USD180.00(2,0418円)を6月2..
- [東京オリンピック開会式] hazukinotaboo ツイートまとめ
